通过 Cisco ACE SSL 端点为单个域(例如 www.example.com)运行 HTTP 和 HTTPS 连接

通过 Cisco ACE SSL 端点为单个域(例如 www.example.com)运行 HTTP 和 HTTPS 连接

我的 Web 应用程序配置在服务器场中具有 Cisco ACE 负载平衡,并且我还想使用 ACE 作为 SSL 端点。为了实现这一点,网络架构师提出了一种设计,其中所有安全页面都必须从 secure.my-domain.com 提供,而非安全页面则从 www.my-domain.com 提供。这样做的原因显然是,将 Cisco ACE 配置为接受特定公共 IP 的端口 443 上的 HTTPS 请求会阻止同时接受同一 IP 的端口 80 上的 HTTP 请求。虽然我不是网络(或 Cisco)专家,但这似乎是直观错误的,因为它会阻止任何使用 Cisco ACE 同时在和上提供页面的网站http://www.my-domain.comhttps://www.my-domain.com在这种情况下,我的问题是:

  1. 当用作 SSL 端点时,这确实是 Cisco ACE 的限制吗?
  2. 如果没有,那么我是否可以假设我们可以设置 ACE 以接受端口 80 和 443 上特定 IP 的连接,并充当 443 上传入请求的 SSL 端点?此处最欢迎相关文档的链接。
  3. 假设上一个问题中的设置,我可以将两组请求重定向到同一端口上的同一服务器场吗?

答案1

事实并非如此。您可以配置一个 as 以将 HTTP 和 HTTPS 流量负载平衡到同一个 VIP。

示例配置:

rserver host web-01
  ip address 10.x.x.x
  probe SIMPLE-ICMP-PROBE
  inservice
rserver host web-02
  ip address 10.x.x.x
  probe SIMPLE-ICMP-PROBE
  inservice


serverfarm host 055-SFARM
  predictor leastconns slowstart 120
  probe SIMPLE-HTTP-PROBE
  rserver web-01 80
    inservice
  rserver web-02 80
    inservice


class-map match-all VIP:443
  10 match virtual-address 10.1.1.2 tcp eq https
class-map match-all VIP:80
  10 match virtual-address 10.1.1.2 tcp eq www


policy-map type loadbalance first-match VIP:443-POLICY
  class class-default
    serverfarm 055-SFARM
policy-map type loadbalance first-match VIP:80-POLICY
  class class-default
    serverfarm 055-SFARM


policy-map multi-match VIP-SPOLICY
  class VIP:80
    loadbalance vip inservice
    loadbalance policy VIP:80-POLICY
    loadbalance vip icmp-reply active
  class VIP:443
    loadbalance vip inservice
    loadbalance policy VIP:443-POLICY
    loadbalance vip icmp-reply active
    ssl-proxy server SSL-PROXY-WITH-CERT

相关内容